Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)
Transcript of Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS)
Requerimientos Técnicos Del Requerimientos Técnicos Del Esquema Nacional Esquema Nacional
De Seguridad (ENS)De Seguridad (ENS)
www.seguridadinformacion.com
www.esquemanacionaldeseguridad.com
De Seguridad (ENS)De Seguridad (ENS)
ÍNDICE
1. INTRODUCCIÓN 32. GENERALIDADES 43. A QUIÉN APLICA 54. A QUIENES AFECTA 65. CORRESPONDENCIA ENS-ISO 27001 76. CONCEPTOS BÁSICOS 96. CONCEPTOS BÁSICOS 97. ELEMENTOS SUJETOS AL ENS 108. PROYECTO DE IMPLANTACIÓN 119. TAREA 1: PLANIFICACIÓN 1210.TAREA 2: DESARROLLO (I) 1311.TAREA 2: DESARROLLO (II) 1512.TAREA 4: REVISAR Y MANTENER 2013.CONCLUSIONES 2114.GUÍA AMETICA 22
1. INTRODUCCIÓN
El ENS es un Sistema de Gestiónde Seguridad de la Informaciónpara las AdministracionesPublicas.
El ENS se desarrolla sobre lasrecomendaciones de la UE y losestándares internacionales enmateria de seguridad de lainformación, especialmente laNorma ISO 27001.
2. GENERALIDADES
Es el marco, obligatorio para lasadministraciones públicas, parala protección de la información ysu gestión a través de los medioselectrónicos.
Su creación se contempla en la
Ley 11/2007 LAECSPLey
37/2007Reutiliza
Info.
Ley 59/2003Firma-e
ESQUEMASu creación se contempla en laLEY 11/2007, de 22 de junio, deacceso electrónico de losciudadanos a los ServiciosPúblicos y se regula a través deReal Decreto del Gobierno deEspaña 3/2010, de 8 de enero.
Info.
Ley 30/1992Reg.Jur.AA.PP Ley
15/1999LOPD
Ley 56/2007
LISI
ESQUEMANACIONAL DE
SEGURIDAD
3. A QUIEN APLICA
Las Administraciones de lasComunidades Autónomas
Las Administraciones de lasComunidades Autónomas
La Administración General del Estado
La Administración General del Estado
Las entidades de derecho público vinculadas o dependientes de las
mismas
Las entidades de derecho público vinculadas o dependientes de las
mismas
Las Entidades que integran la Administración Local
Las Entidades que integran la Administración Local
4. A QUIENES AFECTA
Productos de Seguridad de la información
Productos de Seguridad de la información
Proveedores de Servicios TIProveedores de Servicios TI
El ENS precisa que los proveedores de servicios TI delas Administraciones Públicas deberán contar con unagestión y un nivel de madurez de seguridad equivalente alque tiene implantado la entidad.
Se valorará aquellos proveedores que tengancertificados relevantes de gestión o de productos.
5. CORRESPONDENCIAENS-ISO 27001 (I)
ENS REQUISITO ISO 27001
11 Política de Seguridad 4.2.1.b)
12Compromiso de la dirección
5.1.c) d)
13.113.2
Evaluación de riesgos 4.2.1.c) d) e)13.2
13.3 Gestión de riesgos 4.2.1.f) g)
27.1Documento de Aplicabilidad
4.2.1.g)
14 - 15Formación
5.2.2
34.1 Auditorías 4.2.3.e) - 6
26 Mejora continua 8.1
5. CORRESPONDENCIA ENS-ISO 27001 (II)
ENS REQUISITO ISO 27001
14.3 Uso aceptable de los activos A7.1.3
14.4 Gestión de privilegios de los usuarios A10.10.1 A11.2
15.3 Controlar los riesgos de terceros A6.2
16 Gestión de altas y bajas de usuarios A11.2.116 A11.2.1
17 Control de acceso A9.1
25 Copias de seguridad A10.5.1 - 14.1
24.1 Política de prevención de malware A10.4
24.2 Gestión de incidentes A13.1 - A13.2
27.2 LOPD A15.1.4
33.2 Firma electrónica A12.3 A15.1.6
6. CONCEPTOS BÁSICOS
La gestión de la seguridad debe ser un procesointegral.
Un programa de seguridad debe responder a lasnecesidades de reducción de riesgos de laentidad.
La utilización de estos tipos de medidas permitiráun enfoque integral de la seguridad.
Seguridad integral
Gestión de riesgos
Prevención, reacción y recuperación
El sistema debe contar con sucesivas capas deprotección para que si ocurre un incidente, nodesarrolle todo su potencial dañino.
El programa de seguridad debe ajustarse a loscambios que se vayan produciendo.
Las funciones de responsable de la información,responsable del servicio y responsable de laseguridad deben estar separadas.
y recuperación
Líneas de defensa
Reevaluación periódica
Función diferenciada
7. ELEMENTOS SUJETOS AL ENS
Todos los elementos técnicos, humanos,materiales y organizativos, relacionados con laAdministración Electrónica, y en particular:
8. PROYECTO DE IMPLANTACIÓN
1. Planificar la implantaciónOrganizar el Comité deSeguridadRealizar plan de acciónEstablecer objetivosRecopilar información
2. DesarrollarPolítica de SeguridadPolítica de SeguridadInventario de activosCategorización de sistemasAnálisis de riesgosDocumento de aplicabilidadNormativa de seguridad
3. Revisar y actualizarVerificar y validar objetivosFormaciónPlanes de auditorías
9. TAREA 1: PLANIFICACIÓN
Asignar formalmente los cargos deResponsable de Seguridad,Responsable del Servicio yResponsable de la Información.Crear y definir el/los Comité/s deSeguridad, responsable de velar porSeguridad, responsable de velar porel cumplimiento de la política deseguridad de la organización yestablecer los objetivos.Recopilar los servicios electrónicos einfomación que componen el/lossistemas de la entidad.
10. TAREA 2: DESARROLLO (1)
Definir y aprobar formalmente la Políticade Seguridad. Deberá ser aprobada porel titular responsable de la acción degobierno.Definir el conjunto de activos sujetos alENS, identificando los sistemasENS, identificando los sistemasexistentes en la organización yvalorándolos de acuerdo a lasdimensiones de seguridadespecificadas en el esquema.Determinar la categoría del sistema osistemas identificados.
10. CATEGORIZACIÓN DE SISTEMAS
ACTIVOS SERVICIOS INFORMACIÓN
SISTEMA
DIMENSIONES
Portal web
Gestión de Expedientes
Información web
Información de
Expedientes
ConfidencialidadSin
M B M MConfidencialidadSin
valorarM B M M
Integridad B M B M M
Autenticidad B M B M M
Trazabilidad B M B M M
Disponibilidad M B M A A
Determinar las medidas deseguridad del Anexo 1 queaplican a los sistemas según sunivel.Llevar a cabo el Análisis de
11. TAREA 2: DESARROLLO (2)
Llevar a cabo el Análisis deRiesgos.Documentar la Declaración deAplicabilidad.Definir la Normativa deSeguridad, detallando cómo yquien hace las distintas tareas.
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Marco organizativo
11. NORMATIVAS DE SEGURIDAD (PARTE 1)
ESQUEMA NACIONAL DE SEGURIDAD (ENS)
Medidas de protección
Marco operacional
Marco organizativo
Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
11. NORMATIVAS DE SEGURIDAD (PARTE 2)
ESQUEMA NACIONAL
DE SEGURIDAD (ENS)
Procesos de autorización
Órganos de gestión
Auditorías de seguridad:Cumplimiento legal ycumplimiento técnico
Planificación: Análisis deriesgos, arquitecturas deseguridad, componentes, etc.
Control de accesos
Explotación: Inventario deactivos, gestión de procesos,
11. NORMATIVAS DE SEGURIDAD (PARTE 3)
ESQUEMA NACIONAL activos, gestión de procesos,registros, sistemas deprotección
Servicios externos
Continuidad del servicio
Monitorización del sistema
Acreditación deconocimientos en la vidalaboral
Marco operacional
ESQUEMA NACIONAL
DE SEGURIDAD (ENS)
Protección de instalaciones e infraestructuras
Gestión del personal
Protección de equipos
Protección de las
11. NORMATIVAS DE SEGURIDAD (PARTE 4)
Medidas de protección
Protección de las comunicaciones
Protección de soportes de información
Protección de aplicaciones
Protección de la información
Protección de los servicios
ESQUEMA NACIONAL
DE SEGURIDAD (ENS)
12. TAREA 4: REVISAR Y MANTENER
Formar a todo el personal sobre lapolítica, normativa y procedimientosde seguridad.Evaluar los objetivos midiendo laeficacia de las medidas adoptadas.Revisar el sistema de gestión de laRevisar el sistema de gestión de laseguridad y mantenerlo actualizado.Realización de una Auditoría bienal deSeguridad que revise la política deseguridad y su cumplimiento, asícomo el conjunto de riesgos,normativas, procedimientos ycontroles establecidos.
13. CONCLUSIONES
La correcta implantación del ENS aportará:Confianza en la relación de los ciudadanos con laAdministración.Aumento de la satisfacción de los usuarios.Mejorar la Gestión de Seguridad de la Información,Mejorar la Gestión de Seguridad de la Información,favoreciendo el desarrollo de la propiaAdministración:�Mejorando la gestión de recursos y costes.�Aumentando la eficiencia y productividad.�Buscando la mejora continua.
14. GUIA AMETIC
Start Up, ha elaborado unaguía práctica sobre el ENSpublicada a través de lapágina de AMETIC.página de AMETIC.
http://www.ametic.es/projects/ens/Events/EventDetail.aspx?ID=257
Gracias por su atención
START-UP S.L.www.seguridadinformacion.com
www.esquemanacionaldeseguridad.com